Mi piacerebbe sapere quali sono i migliori approcci per tenere traccia delle attività dei superutente in un ambiente Linux.
In particolare, sto cercando queste funzionalità:
- A) Registrazione delle sequenze di tasti su un server syslog protetto
- B) Capacità di riprodurre sessioni di shell (qualcosa come scriptreplay)
- C) Idealmente, dovrebbe essere qualcosa di impossibile (o abbastanza difficile) da aggirare senza avere accesso fisico al server.
Pensaci da un punto di vista della sicurezza / controllo, in un ambiente in cui diversi amministratori di sistema (o anche terze parti) devono poter eseguire operazioni privilegiate su un server.
Ogni amministratore avrebbe il proprio account nominale e ogni sessione interattiva dovrebbe essere completamente registrata, con la possibilità di riprodurla se necessario (ad esempio, se qualcuno usasse mc per cancellare o modificare file critici, non sarebbe sufficiente sapere che quella persona ha emesso il comando mc; ci deve essere un modo per vedere esattamente cosa è stato fatto dopo aver lanciato mc).
Note aggiuntive :
- Come ha sottolineato Womble, potrebbe essere l'opzione migliore non avere persone che accedono con i privilegi di root per eseguire modifiche sui server, ma invece farlo attraverso un sistema di gestione della configurazione. Quindi supponiamo che una situazione in cui non abbiamo un tale sistema e abbiamo bisogno di garantire l'accesso root a persone diverse nel corso dello stesso server .
- Non mi interessa affatto farlo di nascosto: ogni persona che accede a un server con i privilegi di root sarebbe pienamente consapevole che la sessione verrà registrata (nello stesso modo in cui, ad esempio, gli operatori di call center sanno che le loro conversazioni sono in fase di registrazione)
- Nessuno userebbe un account superutente generico ("root")
- Sono a conoscenza di ttyrpld e sembra fare quello che sto cercando. Ma prima di andare in quel modo, vorrei sapere se questo può essere risolto usando un kernel non modificato. Voglio sapere se ci sono strumenti per Debian in particolare (o Linux in generale) che consentono il controllo completo degli account di superutente senza patchare la shell o il kernel.